stringtranslate.com

ISO 31000

ISO 31000 es una familia de normas internacionales relacionadas con la gestión de riesgos codificadas por la Organización Internacional de Normalización . [1] La norma tiene como objetivo proporcionar un vocabulario y una metodología consistentes para evaluar y gestionar el riesgo, resolviendo las ambigüedades y diferencias históricas en las formas en que se describen los riesgos. [1]

Introducción

La norma ISO 31000 se publicó como norma el 13 de noviembre de 2009 y proporciona una norma sobre la implementación de la gestión de riesgos. Al mismo tiempo se publicó una Guía ISO/IEC 73 revisada y armonizada. El propósito de ISO 31000 es ser aplicable y adaptable para "cualquier empresa, asociación, grupo o individuo público, privado o comunitario". [2] En consecuencia, el alcance general de ISO 31000 – como familia de normas de gestión de riesgos – no está desarrollado para un grupo industrial, sistema de gestión o campo temático en particular, sino más bien para proporcionar una estructura de mejores prácticas y orientación para todas las operaciones involucradas. con la gestión de riesgos. Comenzó el proceso para su primera revisión el 13 de mayo de 2015. [3] El 17 de febrero de 2017 se publicó un borrador de norma internacional (DIS), que estaba abierto a comentarios públicos. [4] La ISO 31000 ha sido criticada por falta de solidez y lenguaje engañoso. [5]

A principios de 2018 se agregó una actualización de ISO 31000. La actualización es diferente porque "proporciona una orientación más estratégica que ISO 31000:2009 y pone más énfasis tanto en la participación de la alta dirección como en la integración de la gestión de riesgos en la organización". [6] La nueva versión (ISO 31000:2018) fue aprobada y se convirtió en el nuevo estándar. Fue revisada y confirmada por última vez en 2023. Por lo tanto, esta versión sigue siendo actual. [7]

Alcance

ISO 31000 proporciona un conjunto de principios, directrices para el diseño, implementación de un marco de gestión de riesgos y recomendaciones para la aplicación de un proceso de gestión de riesgos. El proceso de gestión de riesgos descrito en ISO 31000 se puede aplicar a cualquier actividad, incluida la toma de decisiones en todos los niveles.

ISO describe la diferencia entre los términos marco de gestión de riesgos y proceso de gestión de riesgos de la siguiente manera:

Marco de gestión de riesgos: conjunto de componentes que proporcionan las bases y los arreglos organizacionales para diseñar, implementar, asesorar, revisar y mejorar continuamente la gestión de riesgos en toda la organización. Con la ayuda del ciclo PDCA , el sistema se puede mejorar de forma continua. [8]

Proceso de gestión de riesgos: aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación, consultoría, establecimiento del contexto e identificación, análisis, evaluación, tratamiento, seguimiento y revisión de riesgos. En otras palabras, lo que hace la ISO 31000 es formalizar las prácticas de gestión de riesgos, y este enfoque pretende facilitar una adopción más amplia por parte de las empresas que requieren una norma de gestión de riesgos empresariales que se adapte a múltiples sistemas de gestión 'centrados en silos'. [9]

El alcance de este enfoque de gestión de riesgos es permitir que todas las tareas estratégicas, de gestión y operativas de una organización a través de proyectos, funciones y procesos estén alineadas con un conjunto común de objetivos de gestión de riesgos.

En consecuencia, ISO 31000 está destinada a un amplio grupo de partes interesadas que incluye:

Definiciones

Uno de los cambios de paradigma clave propuestos en ISO 31000 es un cambio en cómo se conceptualiza y define el riesgo. Tanto en la norma ISO 31000 como en la Guía ISO 73, la definición de "riesgo" ya no es "posibilidad o probabilidad de pérdida", sino "efecto de la incertidumbre sobre los objetivos"... provocando así que la palabra "riesgo" se refiera a las consecuencias positivas de incertidumbre, así como negativas.

Se adoptó una definición similar en ISO 9001:2015 (Estándar del sistema de gestión de calidad [10] ), en la que el riesgo se define como "efecto de la incertidumbre". Además, allí se introdujo un nuevo requisito relacionado con el riesgo, el "pensamiento basado en el riesgo" [11] .

Asimismo, en la norma ISO 31000 se estableció una nueva y amplia definición de stakeholders: "Persona o personas que pueden afectar, verse afectadas o percibirse afectadas por una decisión o actividad". Es la definición literal dada para el término "parte interesada" tal como se define en la norma ISO 9001:2015.

Enfoque marco

ISO 31000:2009 se ha desarrollado sobre la base de una norma existente sobre gestión de riesgos, AS/NZS 4360:2004 (en forma de AS/NZS ISO 31000:2009). Mientras que el enfoque inicial de Standards Australia proporcionó un proceso mediante el cual se podía llevar a cabo la gestión de riesgos, ISO 31000:2009 aborda todo el sistema de gestión que respalda el diseño, implementación, mantenimiento y mejora de los procesos de gestión de riesgos.

Implementación

La intención de ISO 31000 es aplicarse dentro de los sistemas de gestión existentes para formalizar y mejorar los procesos de gestión de riesgos en lugar de una sustitución total de las prácticas de gestión heredadas. Posteriormente, al implementar ISO 31000, se debe prestar atención a la integración de los procesos de gestión de riesgos existentes en el nuevo paradigma abordado en la norma.

El enfoque de muchos programas de 'armonización' de ISO 31000 [12] se ha centrado en:

Trascendencia

Si bien la adopción de cualquier estándar nuevo puede tener implicaciones de reingeniería para las prácticas de gestión existentes, este estándar no establece ningún requisito de conformidad. Se describe un marco detallado para garantizar que una organización tendrá "las bases y los arreglos" necesarios para incorporar las capacidades organizativas necesarias a fin de mantener prácticas exitosas de gestión de riesgos. Los fundamentos incluyen la política de gestión de riesgos, los objetivos y el mandato y compromiso de la alta dirección. Los acuerdos incluyen planes, relaciones, responsabilidades, recursos, procesos y actividades.

En consecuencia, los titulares de puestos de alto nivel en una organización de gestión de riesgos empresariales deberán ser conscientes de las implicaciones de la adopción del estándar y ser capaces de desarrollar estrategias efectivas para implementar el estándar, incorporándolo como parte integral de todos los procesos organizacionales, incluidas las cadenas de suministro y comerciales. operaciones. [13] En los ámbitos relacionados con la gestión de riesgos que pueden operar utilizando procesos de gestión de riesgos relativamente poco sofisticados, como la seguridad y la responsabilidad social corporativa, se requerirán más cambios materiales, como la creación de una política de gestión de riesgos claramente articulada, la formalización de procesos de propiedad de riesgos, la estructuración de procesos marco y adoptar programas de mejora continua.

Ciertos aspectos de la rendición de cuentas de la alta dirección, la implementación de políticas estratégicas y los marcos de gobernanza eficaces, incluidas las comunicaciones y las consultas, requerirán una mayor consideración por parte de las organizaciones que han utilizado metodologías anteriores de gestión de riesgos que no han especificado dichos requisitos.

Gestionar el riesgo

ISO 31000 ofrece una lista sobre cómo abordar el riesgo:

  1. Evitar el riesgo al decidir no iniciar o continuar con la actividad que genera el riesgo
  2. Aceptar o aumentar el riesgo para aprovechar una oportunidad.
  3. Eliminar la fuente de riesgo
  4. Cambiando la probabilidad
  5. Cambiando las consecuencias
  6. Compartir el riesgo con otra parte o partes (incluidos contratos y financiación de riesgos)
  7. Retener el riesgo mediante una decisión informada

Acreditación

ISO 31000 no se desarrolló con la intención de obtener una certificación. (2009)

Historia

Ver también

Referencias

  1. ^ ab Purdy, G (2010). "ISO 31000:2009: establecimiento de un nuevo estándar para la gestión de riesgos". Análisis de Riesgos . 30 (6): 881–886. Código Bib : 2010RiesgoA..30..881P. doi :10.1111/j.1539-6924.2010.01442.x. PMID  20636915.
  2. ^ Catálogo ISO 31000 http://www.iso.org/iso/catalogue_detail.htm?csnumber=43170
  3. ^ "La revisión de la norma ISO 31000 sobre gestión de riesgos comenzó el 13 de mayo de 2015". ISO . 13 de mayo de 2015 . Consultado el 23 de febrero de 2017 .
  4. ^ "ISO/DIS 31000 - Gestión de riesgos - Directrices". ISO . Consultado el 23 de febrero de 2017 .
  5. ^ Aven, Terje y Marja Ylönen. "El gran poder de las normas en los campos de la seguridad y los riesgos: ¿una amenaza para el correcto desarrollo de estos campos?". Ingeniería de confiabilidad y seguridad de sistemas 189 (2019): 279-286.
  6. ^ https://www.iso.org/files/live/sites/isoorg/files/store/en/PUB100426.pdf [ URL básica PDF ]
  7. ^ ISO (7 de mayo de 2024). "ISO 31000:2018". ISO.org . Consultado el 7 de mayo de 2024 .
  8. ^ "Gestión de riesgos estandarizada: ISO 31000". Guía de inicio de IONOS . 6 de agosto de 2020 . Consultado el 16 de junio de 2022 .
  9. ^ "optaresystems.com". www.optaresystems.com .
  10. ^ "ISO 9001:2015 - ¡Recién publicada! (23 de septiembre de 2015)". ISO . 23 de septiembre de 2015 . Consultado el 23 de febrero de 2017 .
  11. ^ "Riesgo y revisión de la norma ISO 9001" . Consultado el 23 de febrero de 2017 .
  12. ^ "optaresystems.com". www.optaresystems.com .
  13. ^ Implicaciones para la adopción de ISO http://www.optaresystems.com/index.php/optare/publication_detail/iso_31000_update_what_it_will_mean_for_a_cso/

Enlaces externos